Protection des machines virtuelles Azure avec Azure Security Center (Defender for Cloud)

Protection des machines virtuelles Azure avec Azure Security Center (Defender for Cloud)

01/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l’utilisation de Microsoft Defender for Cloud (anciennement Azure Security Center) pour protéger les machines virtuelles (VM) Azure. Defender for Cloud est une solution complète de gestion de la posture de sécurité dans le cloud (CSPM) et de protection des charges de travail dans le cloud (CWPP) qui fournit des fonctionnalités de visibilité, de recommandations de sécurité, de détection des menaces et de protection pour les machines virtuelles, garantissant ainsi leur sécurité et leur conformité [1].

Présentation

Les machines virtuelles constituent un composant fondamental de nombreuses infrastructures cloud, hébergeant des applications critiques, des bases de données et des services essentiels. Cependant, la sécurité des machines virtuelles dans le cloud est une responsabilité partagée entre le fournisseur de cloud (Azure) et le client. Les erreurs de configuration, les logiciels obsolètes, les vulnérabilités connues et les accès non autorisés peuvent exposer les machines virtuelles à un large éventail de cybermenaces. Microsoft Defender for Cloud simplifie la tâche de protection des machines virtuelles en fournissant une vue unifiée de l'état de sécurité, en identifiant de manière proactive les vulnérabilités et en offrant une protection avancée contre les menaces, le tout intégré de manière native dans l'environnement Azure [2].

Ce guide pratique couvrira l'intégration des machines virtuelles avec Defender for Cloud, l'activation du plan Defender for Servers, l'analyse et la mise en œuvre des recommandations de sécurité, la configuration de l'accès juste à temps (JIT) et la détection des menaces. Des instructions étape par étape, des exemples de commandes et d'instructions Azure CLI seront fournis afin que le lecteur puisse mettre en œuvre une stratégie robuste de protection des machines virtuelles, réduisant la surface d'attaque et renforçant la cyber-résilience de son infrastructure Azure.

Pourquoi Microsoft Defender pour Cloud est-il crucial pour les machines virtuelles ?

  • Security Posture Management (CSPM) : évalue en permanence la configuration des VM par rapport aux meilleures pratiques de sécurité et aux normes réglementaires, en fournissant des recommandations concrètes.
  • Workload Protection (CWPP) : offre une protection avancée contre les menaces, notamment la détection des logiciels malveillants, le contrôle des applications, la surveillance de l'intégrité des fichiers et la protection du réseau pour les machines virtuelles.
  • Visibilité centralisée : regroupe les alertes de sécurité et les recommandations provenant de plusieurs sources dans un seul tableau de bord, simplifiant ainsi la gestion de la sécurité.
  • Accès juste à temps (JIT) : réduit la surface d'attaque des machines virtuelles en limitant l'accès aux ports de gestion uniquement lorsque cela est nécessaire et pour une période de temps limitée.
  • Intégration native : s'intègre de manière transparente à d'autres services Azure et aux solutions Microsoft 365 Defender, offrant une expérience de sécurité unifiée.
  • Automation : vous permet d'automatiser la correction des vulnérabilités et la réponse aux incidents, optimisant ainsi les opérations de sécurité.

Prérequis

Pour protéger les machines virtuelles Azure avec Azure Security Center, vous aurez besoin des éléments suivants :

  1. Abonnement Azure actif : un abonnement Azure pour créer et gérer des ressources.
  2. Accès administrateur : Un compte avec le rôle de « Propriétaire », « Contributeur » ou « Administrateur de sécurité » dans l'abonnement Azure ou dans le groupe de ressources où se trouvent les machines virtuelles.
  3. Machines virtuelles Azure existantes : machines virtuelles Azure que vous souhaitez protéger. Pour ce didacticiel, nous supposerons que vous avez déjà déployé des VM.
  4. Facultatif : Azure CLI ou Azure PowerShell : pour l'automatisation et la gestion via la ligne de commande.

Étape par étape : protéger les machines virtuelles avec Security Center

Configurons Security Center pour protéger vos machines virtuelles Azure.

1. Activation de Microsoft Defender pour Cloud dans votre abonnement

Defender for Cloud est activé par abonnement. S'il n'est pas déjà activé, procédez comme suit :

  1. Ouvrez votre navigateur et accédez au portail Azure : « https://portal.azure.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le champ de recherche supérieur, tapez « Defender for Cloud » et sélectionnez-le dans les résultats.
  4. Dans le tableau de bord Defender pour Cloud, sélectionnez Paramètres d'environnement dans le volet de navigation de gauche.
  5. Sélectionnez l'abonnement Azure qui contient vos machines virtuelles.
  6. Sur la page des plans Defender, assurez-vous que le plan Defender for Servers est « A ».activé». Si ce n'est pas le cas, cliquez sur « Activer » et suivez les instructions pour l'activer. Ce plan est essentiel pour une protection avancée des VM [4].

2. Intégration de machines virtuelles

Avant que Security Center puisse surveiller et protéger vos machines virtuelles, l'agent Log Analytics (également connu sous le nom de Microsoft Monitoring Agent - MMA) doit être installé. Pour les machines virtuelles Azure, cela se fait généralement automatiquement lorsque le plan Defender pour serveurs est activé. Pour les machines virtuelles non Azure, vous devrez les intégrer via Azure Arc.

  1. Après avoir activé Defender pour les serveurs, Defender pour Cloud tentera de provisionner automatiquement l’agent Log Analytics sur toutes les machines virtuelles Azure de l’abonnement.
  2. Vous pouvez vérifier l'état de l'agent dans Inventaire des actifs dans Security Center. Filtrer par « Type de ressource » = « Machines virtuelles ».
  3. Cliquez sur une machine virtuelle pour voir son état de santé et si l'agent est installé.

3. Examen des recommandations de sécurité

Security Center évalue en permanence vos machines virtuelles et fournit des recommandations pour améliorer votre posture de sécurité.

  1. Dans le tableau de bord Defender pour Cloud, sélectionnez Recommandations dans le volet de navigation de gauche.
  2. Filtrez les recommandations par « Type de ressource » = « Machines virtuelles ».

  3. Vous verrez une liste de recommandations telles que « Les vulnérabilités de vos machines virtuelles doivent être corrigées », « L'accès JIT au port de gestion doit être adapté sur vos machines virtuelles » ou « MFA doit être activé sur les comptes avec des autorisations de lecture sur vos abonnements ».

  4. Cliquez sur une recommandation (par exemple « Les vulnérabilités de vos machines virtuelles doivent être corrigées ») pour afficher les détails.

    • Vous verrez une description de la vulnérabilité, l'impact potentiel et une liste des machines virtuelles concernées.
    • Defender for Cloud s'intègre à Microsoft Defender Vulnerability Management pour fournir une évaluation complète des vulnérabilités de vos machines virtuelles.

4. Implémentation de l'accès juste à temps (JIT) pour les VM

L'accès JIT réduit la surface d'attaque de vos VM en garantissant que les ports de gestion (par exemple RDP 3389, SSH 22) ne sont ouverts que lorsque cela est nécessaire et pour une période de temps limitée.

  1. Dans le tableau de bord Security Center, sélectionnez Workload Protection > Just-in-Time VM Access.

  2. Vous verrez une liste des machines virtuelles éligibles JIT. Sélectionnez une VM et cliquez sur Activer JIT sur la VM.

  3. Configurez les ports qui doivent être protégés par JIT (ex : 3389 pour RDP, 22 pour SSH).

  4. Définissez le « Temps maximum de requête » (ex : 3 heures) et les « Protocoles » autorisés.
  5. Définissez les « Adresses IP sources approuvées » (facultatif, pour restreindre davantage l'accès).
  6. Cliquez sur Enregistrer.

Demande d'accès JIT

Lorsqu'un utilisateur doit accéder à la VM :

  1. Dans le tableau de bord Security Center, sélectionnez Workload Protection > Just-in-Time VM Access.
  2. Sélectionnez la VM à laquelle vous souhaitez accéder et cliquez sur Demander l'accès.
  3. Spécifiez le port, l'heure d'accès et l'adresse IP source.
  4. Cliquez sur Ouvrir les ports.

5. Détection des menaces et alertes de sécurité

Defender for Cloud surveille en permanence vos machines virtuelles à la recherche d’activités et de menaces suspectes.

  1. Dans le tableau de bord Defender pour Cloud, sélectionnez Alertes de sécurité dans le volet de navigation de gauche.

  2. Vous verrez une liste d'alertes générées pour vos VM, classées par gravité (par exemple « Tentative de force brute de la VM », « Activité PowerShell suspecte »).

  3. Cliquez sur une alerte pour afficher les détails, notamment :

    • Description : explique la nature de la menace.
    • Ressources affectées : la VM impliquée.
    • Actions recommandées : étapes pour enquêter et corriger l'alerte.
    • Chronologie de l'attaque : une représentation visuelle de la séquence des événements.

Validation et tests

Valider la protection des machines virtuelles avec Security Center implique de vérifier que les recommandations sont générées, que les protections sont appliquées et que les alertes sont détectées.

1. Vérification des recommandations de sécurité

  1. Créez une nouvelle machine virtuelle Azure sans appliquer tous les paramètres de sécurité recommandés (par exemple, pas de chiffrement de disque, pas de mises à jour de sécurité).
  2. Attendez quelques heures que Security Center évalue la VM.
  3. Vérifiez le tableau de bord Recommandations du Centre de sécurité pour voir si des recommandations de sécurité pour la nouvelle VM ont été générées.

2. Test de l'accès JIT

  1. Essayez d'accéder à un port protégé par JIT (par exemple RDP) surune VM sans demander un accès JIT.
    • Résultat attendu : La connexion doit être refusée.
  2. Demandez l'accès JIT pour la VM et le port souhaités.
  3. Essayez à nouveau d'accéder au port dans le délai imparti.
    • Résultat attendu : La connexion devrait réussir.

3. Simuler une alerte de sécurité

  1. Sur une VM de test protégée par Security Center, essayez d'effectuer une activité susceptible de générer une alerte (par exemple, essayer plusieurs fois de vous connecter avec des informations d'identification incorrectes via RDP pour simuler la force brute).
  2. Attendez quelques minutes.
  3. Consultez le tableau de bord Defender for Cloud Alertes de sécurité pour voir si une alerte a été générée pour la VM.

Conseils de sécurité et bonnes pratiques

  • Activer Defender pour les serveurs : assurez-vous que le plan Defender pour les serveurs est activé pour tous les abonnements et toutes les machines virtuelles pour la protection la plus complète.
  • Suivez les recommandations : surveillez et mettez en œuvre régulièrement les recommandations de sécurité fournies par Defender for Cloud afin de maintenir une posture de sécurité robuste.
  • Accès JIT pour les ports de gestion : utilisez toujours l'accès JIT pour les ports de gestion des machines virtuelles afin de minimiser la surface d'attaque et de vous protéger contre les attaques par force brute et les analyses de ports.
  • Intégration avec Azure Policy : utilisez Azure Policy pour appliquer les normes de sécurité et garantir que les machines virtuelles sont déployées avec des configurations sécurisées dès le départ.
  • Gestion des correctifs : maintenez le système d'exploitation et les applications de vos machines virtuelles à jour avec les derniers correctifs de sécurité.
  • Principe du moindre privilège : accordez uniquement les autorisations nécessaires aux utilisateurs et aux services qui interagissent avec vos VM.
  • Surveillance des journaux : intégrez les journaux de sécurité des machines virtuelles à Azure Monitor et Microsoft Sentinel pour une analyse centralisée et une détection avancée des menaces.

Dépannage courant

  • Les machines virtuelles n'apparaissent pas dans Defender for Cloud : vérifiez que l'abonnement est intégré et que le plan Defender for Servers est actif. Assurez-vous que l'agent Log Analytics est installé et exécuté sur la VM. Vérifiez la connectivité réseau de la VM aux points de terminaison Log Analytics.
  • Aucune recommandation générée pour les machines virtuelles : l'évaluation des machines virtuelles après l'intégration peut prendre un certain temps à Security Center. Assurez-vous que l'agent envoie des données. Recherchez les exclusions configurées susceptibles d’empêcher l’évaluation.
  • L'accès JIT ne fonctionne pas : Vérifiez que JIT est activé pour la VM et pour les ports corrects. Assurez-vous que l'adresse IP source dans la demande d'accès JIT correspond à votre adresse IP publique. Vérifiez les journaux d’activité Azure pour les erreurs liées au JIT.
  • Alertes de sécurité manquantes : vérifiez que le plan Defender pour serveurs est actif. Assurez-vous que l'agent Log Analytics envoie des données de sécurité. Vérifiez si des exclusions d’alerte sont configurées.
  • Problèmes de performances de l'agent : si l'agent Log Analytics provoque des problèmes de performances sur votre VM, vérifiez vos besoins en ressources et envisagez d'ajuster vos paramètres de collecte de données.

Conclusion

Microsoft Defender for Cloud est un outil indispensable pour protéger les machines virtuelles Azure, offrant une approche intégrée de la gestion de la posture de sécurité et une protection avancée contre les menaces. En activant le plan Defender pour serveurs, en mettant en œuvre les recommandations de sécurité, en configurant l'accès juste à temps et en surveillant les alertes, les organisations peuvent réduire considérablement les risques associés à leurs machines virtuelles cloud. L’utilisation efficace de Security Center, combinée aux bonnes pratiques de sécurité et à l’intégration avec d’autres services Azure, garantit que les machines virtuelles constituent un actif sécurisé et résilient dans votre infrastructure cloud. Avec ce guide pratique, les professionnels de la sécurité seront bien équipés pour protéger leurs machines virtuelles Azure tout en maintenant un environnement sécurisé et conforme.

Références :

[1] Microsoft Apprendre. Qu'est-ce que Microsoft Defender pour le Cloud ?. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2] Microsoft Apprendre. Protégez vos serveurs avec Defender for Servers. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [3] Microsoft Apprendre. Accès juste à temps (JIT) à la VM. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4] Microsoft Apprendre. Matrice de support pour les machines virtuelles. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute